Jump to content

Recommended Posts

13 часа назад, wdmaster сказал:

Я ошибся, прошу прощения, лог пишет все хорошо. Проблема в другом при подключении IPsec Xauth PSK в локальную сеть я ожидаю с $_SERVER['SERVER_ADDR'] получить 172.20.0.1, а получаю ip полученный в сети мобильного оператора. 

IpSec::CryptoMapInfo: "VirtualIPServer": crypto map is up: remote client "admin" @ "10.108.225.67" with IP "172.20.0.1" connected.

При чем тут вообще php? Может подробнее распишете свою схему, мы же не ванги здесь.

Link to comment
Share on other sites

On 10/5/2021 at 11:04 AM, Le ecureuil said:

Может подробнее распишете свою схему

На entware крутится nginx-extars 1.18. Когда подключаюсь в локалку по ipsec цепочка ip адресов должна быть: 12.12.12.12(внешний) --> 192.168.1.1 --> 172.20.0.1. В логах все хорошо захожу в сеть от 172.20.0.1, но nginx в переменных($remote_addr и $server_addr) получает не правильные адреса, не видит 172.20.0.1. Все конфиги nginx перерыл не получается. До обновления все было хорошо, поэтому спрашиваю, так теперь должно быть?

Link to comment
Share on other sites

@Le ecureuil 3.6.10, странно, попытался подключиться к своему впн и не хочет, до этого всегда ок было

лог скрытым ниже

udp: и как только пост оформил—тут же все подключилось :) 

Edited by enterfaza
Link to comment
Share on other sites

  • 1 month later...

3.7.0, L2TP/IPSec: при двух активных клиентах (Kennetic и Android) у третьего (Windows) возникают проблемы с подключением:

Цитата

Ошибка службы удаленного доступа 691 - В удаленном подключении отказано, так как не удалось распознать указанную комбинацию имени пользователя и пароля или выбранный протокол проверки подлинности не разрешен на сервере удаленного доступа.

Как только освободить одного клиента (отключить Android, например), то Windows подключается. Логины-пароли, понятное дело, хранятся и не меняются.

Как диагностировать в чем проблема?

Edited by The_Immortal
Link to comment
Share on other sites

Иногда Венда выдает так:

Цитата

Ошибка службы удаленного доступа 809 - Не удалось установить связь по сети между компьютером и VPN-сервером, так как удаленный сервер не отвечает. Возможная причина: одно из сетевых устройств (таких как брандмауэры, NAT, маршрутизаторы и т. п.) между компьютером и удаленным сервером не настроено для разрешения VPN-подключений. Чтобы определить, какое устройство вызывает эту проблему, обратитесь к администратору или поставщику услуг.

 

Link to comment
Share on other sites

9 часов назад, The_Immortal сказал:

3.7.0, L2TP/IPSec: при двух активных клиентах (Kennetic и Android) у третьего (Windows) возникают проблемы с подключением:

Как только освободить одного клиента (отключить Android, например), то Windows подключается. Логины-пароли, понятное дело, хранятся и не меняются.

Как диагностировать в чем проблема?

Все из-за одного общего nat пытаются подключиться? А что в логах при этом?

Link to comment
Share on other sites

  • 1 month later...

Дано:

1) Keenetic с L2ip / IKE / IPSec сервером с белым IP, настроенной маршрутизацией

2) iPhone/Android с LTE сетью

3) Хост подключенный через iPhone (функция раздача wifi)

 

Как можно увидеть хост с кинетика? На андроиде с кастомной прошивкой мне это удавалось сделать через pptp

На айфоне и на других андроидах максимум удается пропинговать сам телефон (при подключении к VPN).

Хост через айфон 100% пингуется.

Edited by clayer
Link to comment
Share on other sites

  • 1 month later...

Подскажите пожалуйста, это нормально что при активном VPN-сервер L2TP/IPsec ПК в домашнем сегменте не могут устанавливать ВПН соединения по протоколу L2TP с серверами в инете?

Link to comment
Share on other sites

  • 2 weeks later...

задача такая - есть keenetic, на нем поднят L2TP-сервер. На самом кинетике есть 2 подключения - один ростелеком, второй - vpn за границу. Клиенты подключаются с включенным NAT (ну допустим это телефон, на котором я хочу обходить блокировку, в моем случае, либо наоборот подключается мой дружбан из Германии, который хочет смотреть русский интернет, т.к. у них наши сайты банят нещадно). Нужно в зависимости от того, какая учетка подключилась настраивать маршрутизацию ему надо через Ростелек, а мне надо наоборот через vpn. По идее нужен скрипт с настройкой правильной маршрутизации при подключении клиента, был бы признателен за помощь. Прочитав много всего, подозреваю, что так не получится (или мои знания недостаточны).

 

Тогда вопрос в следующем - пусть у меня будет 2 сегмента - "Домашняя сеть" и "Free internet". В домашней сети будет использоваться ростелеком, а во FreeInternet пусть будет VPN, в настройках L2TP сервера укажем, что он дает доступ к сегменту "Free Internet". Я не нашел способа, как указать канал для каждого сегмента. Стандартный механизм настройки приоритетов и профилей позволяет указать профиль доступа только для незарегистрированных устройств. А мне нужно сегмент "Домашняя сеть" полностью на Ростелекому, а сегмент "Free internet" полностью на VPN. Пока настроить не получается, при подключении к L2TP серверу, в параметрах которого указан доступ к сети "Free internet", трафик все равно идет через Ростелеком. Как жестко настроить, чтоб весь трафик сегмента шел через VPN-подключение ?

 

Edited by VladimirM
Link to comment
Share on other sites

Подскажите, пожалуйста, каким образом задать для LT2P-сервера межсетевые правила? Интерфейс недоступен для выбора.

Как быть?

 

Link to comment
Share on other sites

1 час назад, The_Immortal сказал:

Подскажите, пожалуйста, каким образом задать для LT2P-сервера межсетевые правила? Интерфейс недоступен для выбора.

Как быть?

 

Only CLI

  • Upvote 1
Link to comment
Share on other sites

Весь журнал в таких ошибках

l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 663/2, tunnel Ns/Nr: 826/13, tunnel reception window size: 16 bytes)

Увидел , что четыре года назад про нее писали.

Есть решение ?

Link to comment
Share on other sites

Настроил на VPS ubuntu  Ikev2 StrongSwan. Для конфига использовал тот, что сами кинетик выдает если на нем поднять сервер.  Но клиент Ike на роутере не подключается, выдает ошибку(нет соединения).  Работает подключение к данному конфигу через микротик и приложение на Андроид. 

conn VirtualIPServerIKE2
        keyingtries = 1
        margintime = 20s
        rekeyfuzz = 100%
        closeaction = none
        ike = aes128-sha256-modp1024,aes128-sha256-modp2048,aes128-sha256-ecp384,aes128-sha256-ecp256,aes128-sha1-modp1024,aes128-sha1-modp2048,aes128-sha1-ecp384,aes128-sha1-ecp256,aes256-sha256-modp1024,aes256-sha256-modp2048,aes256-s$
        ikelifetime = 28800s
        keyexchange = ikev2
        mobike = no
        esp = aes128-sha1,aes128-sha2_256,aes256-sha1,aes256-sha2_256!
        lifetime = 28800s
        dpdaction = clear
        dpddelay = 20s
        dpdtimeout = 60s
        leftid=ип адрес
        leftauth = pubkey
        leftcert=debian.pem
        leftsendcert = always
        rightid = %any
        rightauth = eap-mschapv2
        eap_identity=%any
        type = tunnel
        left = %any
        right = %any
        leftsubnet = 0.0.0.0/0
        reauth = no
        rightsubnet = %dynamic
        rightsourceip=10.10.10.0/24
        rightdns=8.8.8.8,8.8.4.4
        auto = add
        rekey = no
        forceencaps = yes

 

Edited by Waik
Link to comment
Share on other sites

  • 1 month later...
В 15.03.2022 в 00:00, yuoras сказал:

Весь журнал в таких ошибках

l2tp tunnel 40070-12939 (176.14.***.***:1702): discarding out of order message (packet Ns/Nr: 663/2, tunnel Ns/Nr: 826/13, tunnel reception window size: 16 bytes)

Увидел , что четыре года назад про нее писали.

Есть решение ?

Посмотрите на D.12-8, немного полегче должно стать. Но вообще у вас сильные потери между клиентом и сервером, потому все равно это потенциально проблемно.

  • Upvote 1
Link to comment
Share on other sites

  • 1 month later...

Здравствуйте!

Подскажите, какая скорость считается нормальной для l2tp ipsec соединения. 

На hopper у меня 50 мбит.

При этом для сравнения пптп сервер на гига 2 - 100 мбит

Link to comment
Share on other sites

В 04.06.2022 в 19:54, lyoksa сказал:

Здравствуйте!

Подскажите, какая скорость считается нормальной для l2tp ipsec соединения. 

На hopper у меня 50 мбит.

При этом для сравнения пптп сервер на гига 2 - 100 мбит

https://help.keenetic.com/hc/ru/articles/115005342025-Типы-VPN-соединений-в-Keenetic

Link to comment
Share on other sites

вернулся на пптп (соединить 2 компа в соседних домах). скорость выше, соединение каждые несколько часов не отваливается.

ipsec оставил для мобильников

Link to comment
Share on other sites

В 11.06.2022 в 22:17, lyoksa сказал:

вернулся на пптп (соединить 2 компа в соседних домах). скорость выше, соединение каждые несколько часов не отваливается.

ipsec оставил для мобильников

Можно было L2TP без шифрования, скорость возрастёт 

  • Upvote 1
Link to comment
Share on other sites

  • 2 weeks later...

Добрый день. Сразу скажу работаю начинающем администратором. Есть необходимость соединить две сети. ДЛя этого было куплено два роутера Giga и Omni. Пробовал соединить через PPTP, SSTP  не удачно. На данный момент настроил все  по инструкции L2tp/ipsec и сервер и клиента. Успеха не видать. Будьте добры помогите. Прикладываю файлы диагностики с сервера и с клиента 

self-test_KN-1011_stable_3.07.C.4.0-2_router_2022-06-28T09-11-20.008Z.txt self-test_KN-1410_stable_3.07.C.4.0-2_router_2022-06-28T09-11-11.691Z.txt

Link to comment
Share on other sites

В 28.06.2022 в 10:20, Oleg1986 сказал:

Есть необходимость соединить две сети.

IP-Sec. Дешево. Надежно. Практично. Быстро.

https://help.keenetic.com/hc/ru/articles/360000422620

PPTP, SSTP, L2TP все таки удобнее если к серверу подключать клиентов: Windows, *nix, mobile....

Edited by SySOPik
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...